Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-06399: Уязвимость открытой реализации протокола OpenLDAP, связанная с освобождением недопустимого указателя или ссылки, позволяющая нарушителю выполнить отказ в обслуживании

Основная информация
Подробнее

Описание уязвимости

Уязвимость открытой реализации протокола OpenLDAP связана с освобождением недопустимого указателя или ссылки. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить отказ в обслуживании с помощью отправки специально сформированного запроса

Вендор

Сообщество свободного программного обеспечения, Apple Inc., ООО «Ред Софт», OpenLDAP, ООО «РусБИТех-Астра», ФССП России, АО "НППКТ"

Наименование ПО

Debian GNU/Linux, Mac OS, РЕД ОС (запись в едином реестре российских программ №3751), OpenLDAP, Astra Linux Special Edition (запись в едином реестре российских программ №369), ОС ТД АИС ФССП России, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)

Версия ПО

9.0 (Debian GNU/Linux)
10.0 (Debian GNU/Linux)
до Mojave 10.14.6 (Mac OS)
до Catalina 10.15.7 (Mac OS)
11.0 (Debian GNU/Linux)
до Big Sur 11.4 (Mac OS)
7.3 (РЕД ОС)
от 2.4.3 до 2.4.56 (OpenLDAP)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
ИК6 (ОС ТД АИС ФССП России)
до 2.1 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система, Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9.0
Сообщество свободного программного обеспечения Debian GNU/Linux 10.0
Apple Inc. Mac OS до Mojave 10.14.6
Apple Inc. Mac OS до Catalina 10.15.7
Сообщество свободного программного обеспечения Debian GNU/Linux 11.0
Apple Inc. Mac OS до Big Sur 11.4
ООО «Ред Софт» РЕД ОС 7.3 (запись в едином реестре российских программ №3751)
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 (запись в едином реестре российских программ №369)
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 (запись в едином реестре российских программ №369)
ФССП России ОС ТД АИС ФССП России ИК6

Тип ошибки

Освобождение неверного указателя или ссылки

Идентификатор типа ошибки

CWE-763

Класс уязвимости

Уязвимость кода

Дата выявления

06.02.2021

Базовый вектор уязвимости

CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для OpenLDAP:
Обновление программного обеспечения до актуальной версии

Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-36224
https://www.debian.org/security/2021/dsa-4845
https://lists.debian.org/debian-lts-announce/2021/02/msg00005.html

Для продуктов Apple:
https://support.apple.com/kb/HT212529
https://support.apple.com/kb/HT212530
https://support.apple.com/kb/HT212531

Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОС ТД АИС ФССП России:
https://goslinux.fssp.gov.ru/2726972/

Для ОСОН Основа:
Обновление программного обеспечения openldap до версии 2.4.47+dfsg-3+deb10u6

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Манипулирование структурами данных

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://redos.red-soft.ru/support/secure/
https://www.cybersecurity-help.cz/vdb/SB2021020601
https://security-tracker.debian.org/tracker/CVE-2020-36224
https://bugs.openldap.org/show_bug.cgi?id=9409
https://git.openldap.org/openldap/openldap/-/commit/554dff1927176579d652f2fe60c90e9abbad4c65
https://git.openldap.org/openldap/openldap/-/commit/c0b61a9486508e5202aa2e0cfb68c9813731b439
https://git.openldap.org/openldap/openldap/-/commit/5a2017d4e61a6ddc4dcb4415028e0d08eb6bca26
https://git.openldap.org/openldap/openldap/-/commit/d169e7958a3e0dc70f59c8374bf8a59833b7bdd8
http://seclists.org/fulldisclosure/2021/May/64
http://seclists.org/fulldisclosure/2021/May/65
http://seclists.org/fulldisclosure/2021/May/70
https://lists.debian.org/debian-lts-announce/2021/02/msg00005.html
https://security.netapp.com/advisory/ntap-20210226-0002/
https://support.apple.com/kb/HT212529
https://support.apple.com/kb/HT212530
https://support.apple.com/kb/HT212531
https://www.debian.org/security/2021/dsa-4845
https://nvd.nist.gov/vuln/detail/CVE-2020-36224
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
https://goslinux.fssp.gov.ru/2726972/
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/

Идентификаторы других систем описаний уязвимостей

CVE: CVE-2020-36224

Прочая информация

Данные уточняются

Последние изменения